检测
分析学
5.5.5 确保屏蔽GKE节点实现
资讯类
屏蔽式GKE节点通过安全启动程序、虚拟可信平台模块(vTPM)驱动测试启动程序以及完整性监控提供可核查完整性原理性:
屏蔽GKE节点保护集群避免启动或内核级恶意或rootkits持续超出受感染OS
屏蔽式GKE节点运行固件使用Google证书局签名验证,确保节点固件不修改并建立安全启动信任根GKE节点身份通过虚拟可信平台模块强保,并先由主节点远程验证后加入集群最后,GKE节点完整性(即启动序列和内核)得到测量并可以远程监控验证
撞击 :
启动屏蔽GKE节点集后,节点池中创建的任何节点如果没有屏蔽GKE节点启动或节点池外创建,都无法加入集群
屏蔽式GKE节点只能用容器优化OS(COS)、容器化COS和Ubuntu节点图像
求解
Google云控制台使用更新现有集群使用屏蔽GKE节点
导航库贝涅斯引擎访问 https://console.cloud.google.com/kubernetes/list
选择集群帮助屏蔽GKE节点并点击EDIT
定位ShieldGKE节点下拉菜单并选择“Enabled
点击SAVE
使用命令行 :
迁移现有集群时,需要指定集群更新命令中的-en-en-屏蔽节点标志:
gloud贝塔容器集群更新
区元CLUSTERONE
--enable-shielded-nodes
默认值 :
当前屏蔽GKE节点默认无法启动
屏蔽GKE节点启动后,完整性监控(通过Stackdriver)默认启动并安全启动默认禁用
并见
项目细节
审核名称 :CIS谷歌Kubernetes引擎v1.4.0L
类别 :冲突管理
插件 :GCP
控件标识符 :49e744053aca6ce4910c2b46416c4426655edd23c2d2e289f4702003bb6ca3ba